Descripción general del SIEM de Google Security Operations

Se admite en los siguientes países:

El SIEM de Google Security Operations es un servicio en la nube, creado como una capa especializada sobre la infraestructura principal de Google, diseñado para que las empresas retengan, analicen y busquen de forma privada las grandes cantidades de telemetría de seguridad y de red que generan. Google Security Operations normaliza, indexa, correlaciona y analiza los datos para proporcionar análisis y contexto instantáneos sobre la actividad riesgosa.

Google Security Operations te permite examinar la información de seguridad agregada de tu empresa durante meses o más. Usa Google Security Operations para realizar búsquedas en todos los dominios a los que se accede en tu empresa. Puedes limitar tu búsqueda a cualquier activo, dominio o dirección IP específicos para determinar si se produjo algún compromiso.

Descripción general de la plataforma de Google Security Operations

Descripción general de la plataforma de Google Security Operations

Recopilación de datos

Google Security Operations puede transferir numerosos tipos de telemetría de seguridad a través de varios métodos, incluidos los siguientes:

  • Reenviador: Es un componente de software ligero que se implementa en la red del cliente y admite syslog, captura de paquetes y administración de registros existentes o repositorios de datos de administración de información y eventos de seguridad (SIEM).

  • APIs de transferencia: Son APIs que permiten que los registros se envíen directamente a la plataforma de Google Security Operations, lo que elimina la necesidad de hardware o software adicionales en los entornos de los clientes.

  • Integraciones de terceros: Integración con APIs de nubes de terceros para facilitar la transferencia de registros, incluidas fuentes como Office 365 y Azure AD.

Análisis de datos

Las capacidades analíticas de Google Security Operations se entregan a los profesionales de seguridad como una aplicación simple basada en el navegador. También se puede acceder a muchas de estas funciones de manera programática a través de las APIs de lectura. Cuando ven una posible amenaza, Google Security Operations les brinda a los analistas una forma de determinar qué es, qué hace, si es importante y cuál es la mejor manera de responder.

Seguridad y cumplimiento

Como una capa privada especializada compilada sobre la infraestructura principal de Google, Google Security Operations hereda las capacidades de procesamiento y almacenamiento, así como el diseño y las capacidades de seguridad de esa infraestructura.

Como parte de su diseño de seguridad, Google Security Operations almacena las credenciales de los usuarios (por ejemplo, las credenciales que proporcionas para que un feed de Google Security Operations pueda transferir datos de registro desde una API de terceros) en Secret Manager.

Funciones de Google Security Operations

  • Análisis de registros sin procesar: Busca en tus registros sin procesar.
  • Expresiones regulares: Busca en tus registros sin analizar con expresiones regulares.

Vistas de investigación

  • Enterprise Insights: Muestra los dominios y los recursos que más necesitan investigación.
  • Vista de recursos: Investiga los recursos de tu empresa y si interactuaron o no con dominios sospechosos.
  • Vista de direcciones IP: Investiga direcciones IP específicas de tu empresa y el impacto que tienen en tus recursos.
  • Vista de hash: Busca e investiga archivos según su valor de hash.
  • Vista de dominios: Investiga dominios específicos dentro de tu empresa y el impacto que tienen en tus recursos.
  • Vista de usuario: Investiga a los usuarios de tu empresa que podrían haberse visto afectados por eventos de seguridad.
  • Filtrado procedimental: Ajusta la información sobre un recurso, incluido el tipo de evento, la fuente de registro, el estado de la conexión de red y el dominio de nivel superior (TLD).

Información seleccionada

  • Bloques de estadísticas de activos: Destaca los dominios y las alertas que te recomendamos investigar más a fondo.
  • Gráfico de prevalencia: Muestra la cantidad de dominios a los que se conectó un activo durante un período específico.
  • Alertas de productos de seguridad populares

Motor de detección

Puedes usar el motor de detección de Google Security Operations para automatizar el proceso de búsqueda de problemas de seguridad en tus datos. Puedes especificar reglas para buscar todos tus datos entrantes y notificarte cuando aparezcan amenazas potenciales y conocidas en tu empresa.

VirusTotal

Para investigar con más detalle un recurso, un dominio o una dirección IP, puedes iniciar VirusTotal desde Google Security Operations. Para ello, haz clic en Contexto de VT.